Avec le Cyber Resilience Act, la Commission européenne définit pour la première fois des exigences de cybersécurité pour tous les appareils connectés et produits numériques commercialisés sur le marché unique.
Cette chronique partenaire est proposée par Olivier Giannoni, directeur juridique de l’UGAP, membre du Cercle Montesquieu, association de directeurs juridiques.
La cyber criminalité est une activité florissante. Le coût total du cyber crime est estimé à 5,5 milliards d’euros par la Commission européenne pour la seule année 2021.
Cette situation explique une multiplication de documents programmatiques au niveau européen. Le Conseil, dans ses conclusions du 23 mai 2022, appelle notamment à la mise en place d’une coopération étroite entre les États membres pour prévenir et résister aux cyberattaques.
Les citoyens ne sont pas oubliés puisque le Conseil demande aussi l’élaboration d’un projet de règlement sur la cyber résilience. C’est chose faite depuis le 15 septembre 2022.
| Bon à savoir : L’entrée en vigueur du Cyber Resilience Act est conditionnée à un accord entre le Parlement et le Conseil de l’Union européenne ce qui pourrait engendrer quelques ajustements. |
Assurer la sécurité de tous les appareils connectés
C’est la première fois que la Commission européenne propose une règlementation dont le champ d’application est aussi large. Jusqu’à présent seuls certains produits tels les appareils médicaux avaient fait l’objet d’exigences alors que ce projet vise tous les produits comportant des éléments digitaux : logiciels comme matériels.
En revanche, les services en ligne, dès lors qu’ils ne sont pas liés à un produit, et les logiciels open-source développés sans visée commerciale ne sont pas concernés.
L’ambition est d’encadrer tout le reste : en passant des smartphones aux systèmes d’exploitation.
Le projet prévoit des exigences de sécurité au moment de la commercialisation des produits et pendant leur cycle de vie. Ainsi, les fabricants ne devront pas livrer de produits comportant des failles de sécurité connues et devront diffuser des correctifs de sécurité pour au moins une durée de cinq ans.
Le contenu de ces exigences est, toutefois, variable selon les produits car le projet distingue des produits critiques qui doivent remplir des obligations supplémentaires.
Il s’agit d’éléments essentiels à la sécurité des réseaux comme les antivirus ou les gestionnaires de mot de passe.
Il existe également des obligations d’information à l’égard des consommateurs qui doivent pouvoir comprendre les caractéristiques en termes de sécurité offerte par les produits afin d’en tenir compte au moment de leur choix.
Des contrôles et des amendes jusqu’à 15 millions d’euros
La certification des produits repose sur la responsabilité des fournisseurs. Cependant, un dispositif d’évaluation par des tiers de confiance est prévu pour les produits critiques.
De même, la surveillance des obligations de sécurité est confiée à des autorités nationales désignées par les États membres qui peuvent réaliser des contrôles et appliquer des amendes en cas de manquement. Des mesures complémentaires sont possibles comme l’interdiction de commercialisation.
| À retenir : Le montant de ces amendes peut s’élever à 15 millions d’euros ou 2,5% du chiffre d’affaires. |
Enfin, les fabricants sont aussi tenus de signaler sous vingt-quatre heures à l’Agence de l’Union européenne pour la cybersécurité (Enisa) les vulnérabilités découvertes dans les produits et activement exploitées par des cybercriminels.
Ils doivent aussi mettre en place des dispositifs pour permettre aux consommateurs de leur signaler des failles de sécurité.
Un délai pour se mettre en conformité
Un délai de deux ans est prévu pour permettre aux différents acteurs de se mettre en conformité avec les nouvelles exigences.
En revanche, aucune transposition du texte n’est nécessaire car un règlement a un effet juridique immédiat et direct dans l’ordre juridique de tous les États membres.
